Desarrollo Seguro 2025

1. ¿Cuál es una de las mejores prácticas para asegurar una base de datos?. a. No aplicar cifrado a los datos. b. Utilizar la versión más antigua del software. c. Proteger todos los datos con cifrado. d. Eliminar las bases de datos antiguas.

2. Los abogados de su empresa están preocupados por los aspectos legales relacionados con el uso de software, ya que existen distintos tipos de licencias, como GNU/GPL, Apache, entre otras. Les inquieta que, debido a la naturaleza del desarrollo, algunos de los componentes utilizados puedan estar regulado y, por ello, le solicitan identificar todas las librerías y dependencias empleadas para corroborar que no se esté haciendo un uso indebido de dichos componentes. ¿Qué tipo de prueba le puede ayudar en esta tarea?. a. Integración. b. SCA. c. SAST. d. Unitarias. e. Carga. f. DAST.

3. Un vehículo autónomo comienza a tomar decisiones erróneas debido a pequeños cambios en las señales de tráfico que no son detectables para los humanos. Estas alteraciones hacen que el modelo de IA interprete incorrectamente las señales. ¿Qué tipo de ataque está afectando al modelo del vehículo autónomo?. a. Envenenamiento de datos. b. Ataque adversarial. c. Filtración de información. d. Inyección de código.

4. ¿Cuál de los siguientes NO representa un área crítica de la superficie de ataque móvil de acuerdo con OWASP MASVS?. a. MASVS-NETWORK. b. MASVS-AUTH. c. MASVS-PLATFORM. d. MASVS-DEVOPS. e. MASVS-CRYPTO. f. MASVS-STORAGE.

5. ¿Qué enfoque debe utilizarse para configurar un ambiente seguro?. a. Mantener cuentas predeterminadas activas. b. Otorgar derechos explícitos a todos los usuarios. c. Dar acceso administrativo por defecto. d. Eliminar servicios innecesarios.

6. ¿Qué categoría establece que la aplicación debe contar con un mecanismo para hacer cumplir las actualizaciones de la aplicación?. a. MASVS-CODE. b. MASVS-STORAGE. c. MASVS-CRYPTO. d. MASVS-DEVOPS. e. MASVS-AUTH. f. MASVS-NETWORK.

7. Se producen cuando las prácticas recomendadas de seguridad no se siguen correctamente o la seguridad no se refuerza correctamente. Algunos ejemplos incluyen los parches no aplicados, la exposición no deseada de registros de depuración, características / servicios innecesarios, implementación incorrecta de la política CORS, verbos HTTP habilitados innecesariamente, etc. a. Autorización de nivel de función rota. b. Autorización de nivel de propiedad de objeto roto. c. Acceso sin restricciones a flujos comerciales sensibles. d. Falsificación de solicitudes del lado del servidor. e. Gestión inadecuada del inventario. f. Configuración incorrecta de seguridad.

8. ¿Cuál de las siguientes afirmaciones sobre SAST y SCA es correcta?. a. SCA es una técnica que evalúa el rendimiento y la seguridad de una aplicación al ejecutarla. b. SAST permite detectar vulnerabilidades de seguridad en el código fuente sin necesidad de ejecutar la aplicación. c. SCA solo identifica problemas de seguridad y no aborda otros defectos en el código. d. SCA se enfoca principalmente en la calidad del código y no abarca la seguridad en la aplicación. e. SAST se utiliza exclusivamente para analizar el rendimiento de una aplicación, sin considerar su seguridad. f. SAST y SCA son lo mismo, ambos se centran únicamente en la calidad del código.

9. Una de las técnicas que utilizan lenguajes de programación más nuevos en comparación con lenguajes más viejos es la gestión automática de memoria. Permitiendo de esta manera prevenir ataques que sobrecarguen la memoria con objetos que ya son inalcanzables en el programa. ¿Lo anterior podría ayudar a prevenir ataques de denegación de servicio?. a. Falso. b. Verdadero.

10. ¿Qué control garantiza que cualquier dato confidencial almacenado intencionalmente por la aplicación esté protegido adecuadamente, independientemente de la ubicación de destino?. a. MASVS-NETWORK. b. MASVS-CRYPTO. c. MASVS-AUTH. d. MASVS-STORAGE. e. MASVS-RESILENCE. f. MASVS-DEVOPS.

11. ¿Cómo se pueden mitigar las vulnerabilidades de autenticación rota?. a. Eliminando el uso de tokens. b. Implementando mecanismos de autenticación sólidos. c. Deshabilitando todas las claves de la API. d. Ignorando la gestión de sesiones.

12. Durante la implementación de un nuevo entorno en la nube, el equipo de TI decide usar scripts automatizados para aprovisionar servidores y bases de datos. ¿Qué enfoque están utilizando?. a. Administración de artefactos. b. DevSecOps. c. Consistencia operativa. d. Infraestructura como Código (IaC).

13. ¿Cuál es la práctica recomendada para actualizar las imágenes de contenedor en un entorno DevOps?. a. No actualizar las imágenes si funcionan correctamente. b. Actualizar las imágenes manualmente sin pruebas. c. Automatizar la actualización de las imágenes base y revisar las vulnerabilidades.

14. ¿Cómo puede prevenirse una configuración insegura?. a. Usando credenciales compartidas en todos los entornos. b. Eliminando funciones y frameworks no utilizados. c. No actualizar configuraciones. d. Evitando procesos de hardening.

15. ¿Cuál es el propósito principal de las herramientas utilizadas en DevOps para gestionar riesgos y vulnerabilidades?. a. Detectar y marcar los riesgos y vulnerabilidades para su investigación. b. Mejorar la eficiencia del proceso de desarrollo. c. Asegurar la infraestructura en la nube. d. Automatizar el proceso de entrega continua.

16. ¿Qué principio establece que el acceso debe ser permitido solo a usuarios específicos?. a. Validación de entradas. b. Modelado de amenazas. c. Principio de mínimo privilegio. d. Hardening de seguridad.

17. Un desarrollador de DevOps ha dejado claves SSH incrustadas en el código fuente. ¿Qué acción debería tomar para corregir esto?. a. Eliminar las claves incrustadas y utilizar métodos de acceso seguros. b. Mantener las claves en el repositorio para facilitar su acceso. c. Reemplazar las claves sin verificar el código. d. Dejar las claves para futuras actualizaciones.

18. Con el fin de lograr prevenir cierto tipo de vulnerabilidad, decide eliminar todos los servicios y procesos innecesarios o innecesarios. ¿Esto logrará impedir que se materialice qué tipo de amenaza?. a. Inyección. b. Errores criptográficos. c. Diseño inseguro. d. Falsificación de solicitudes del lado del servidor. e. Configuración incorrecta de seguridad. f. Fallos de integridad de software y datos.

19. Una organización que opera en la nube detecta un incremento de ataques dirigidos hacia su consola de gestión. ¿Qué medida debería implementar para proteger este recurso crítico?. a. Realizar pruebas de aplicaciones estáticas (SAST). b. Controlar estrictamente el acceso con privilegios a la consola de gestión. c. Utilizar claves SSH incrustadas para asegurar la consola. d. Automatizar los scripts de aprovisionamiento.

20. Según el GDPR, ¿qué derecho permite a los usuarios solicitar la eliminación de sus datos personales?. a. Derecho de supresión. b. Derecho de corrección. c. Derecho de acceso/portabilidad. d. Derecho de oposición.

21. Hablando de las métricas de RPO, RTO, MTD dentro de los requerimientos que debe cubrir el proyecto, ¿de qué tipo de criterios se está hablando?. a. Requerimientos de confidencialidad. b. Requerimientos de manejo de errores. c. Requerimientos de integridad. d. Requerimientos de autenticación. e. Requerimientos de disponibilidad. f. Requerimientos de manejo de configuraciones.

22. Un equipo de desarrollo necesita aumentar la velocidad de despliegue y asegurar que el código sea probado automáticamente. ¿Qué práctica DevOps debe implementar?. a. Pruebas manuales. b. Infraestructura como código (IaC). c. Integración continua (CI). d. Entrega continua (CD).

23. La aplicación móvil almacena en caché datos confidenciales, como tokens de autenticación de usuario o información de sesión, sin implementar las medidas de seguridad adecuadas. Si un atacante obtiene acceso a la memoria caché del dispositivo, puede obtener estas credenciales y hacerse pasar por el usuario. ¿Qué amenaza se describe en el ejemplo anterior?. a. Validación de entrada/salida insuficiente. b. Uso inadecuado de credenciales. c. Almacenamiento de datos inseguro. d. Autenticación/Autorización insegura. e. Controles de privacidad inadecuados. f. Comunicación insegura.

24. Esta es una técnica utilizada para evitar la ingeniería inversa y la piratería, forma parte de los requerimientos antipiratería; lo que busca es transformar el código fuente original para volver ilegible y difícil de analizar el código. a. Ofuscación. b. Cifrado asimétrico. c. Hasheo. d. Replicación. e. Copias de seguridad. f. Cifrado simétrico.

25. Se trata de un análisis manual exhaustivo realizado por un individuo distinto al que desarrolló el código; tiene como propósito detectar problemas de sintaxis y posibles vulnerabilidades que podrían impactar el rendimiento y la seguridad del software por parte del primer desarrollador, ya sea de manera intencional o no intencional. a. Pruebas lógicas. b. Pruebas de rendimiento. c. Fuzzing. d. Pruebas de regresión. e. Pruebas de penetración. f. Revisión de código.

26. Gracias a este tipo de requerimientos, se puede especificar qué información se le devuelve al usuario en caso de haber un error dentro de la aplicación. a. Requerimientos de confidencialidad. b. Requerimientos de manejo de configuraciones. c. Requerimientos de integridad. d. Requerimientos de manejo de errores. e. Requerimientos de autenticación. f. Requerimiento de manejo de errores.

27. ¿Qué ataque puede aprovecharse de mensajes de error mal gestionados?. a. Fallas de manejo de excepciones. b. Ataques AJAX. c. Ataques de validación de entrada. d. Cross-Site scripting.

28. Un equipo está implementando un servicio en la nube y no tiene en cuenta el aislamiento del contenedor. ¿Cuál es el riesgo?. a. El servicio no se podrá ejecutar correctamente. b. El acceso al servicio será más rápido. c. Vulnerabilidades que pueden comprometer la infraestructura. d. La infraestructura de la nube se volverá más accesible.

29. ¿Qué debe hacerse con las cadenas de conexión, contraseñas o claves criptográficas en el código?. a. Nunca usarlas. b. Usarlas en variables de entorno. c. Codificarlas en el código. d. Almacenarlas en texto plano.

30. Los desarrolladores a menudo confían en los datos recibidos, especialmente cuando trabajan con proveedores de renombre e implementan políticas y estándares de seguridad menos estrictos. ¿A qué categoría de amenaza hace referencia el enunciado anterior?. a. Acceso sin restricciones a flujos comerciales sensibles. b. Consumo inseguro de API. c. Autorización de nivel de función rota. d. Falsificación de solicitudes del lado del servidor. e. Configuración incorrecta de seguridad. f. Autorización de nivel de propiedad de objeto roto.

31. Un atacante utiliza ingeniería inversa para descubrir una clave API en una aplicación móvil. ¿Qué tipo de vulnerabilidad está explotando?. a. Almacenamiento inseguro de datos. b. Autenticación insegura. c. Validación insuficiente. d. Protección binaria insuficiente.

32. ¿Cuáles de las siguientes prácticas de codificación son útiles para simplificar el código?. a. El software debe tener funciones con nombres similares pero cuya implementación sea totalmente distinta. b. Los procesos deben tener varios puntos de entrada y salida. c. El software debe evitar ambigüedades y suposiciones ocultas, recursividades e instrucciones GoTo. d. Los programadores deben usar múltiples funciones pequeñas y simples en lugar de una sola función compleja. e. El software debe usar acrónimos y abreviaturas para reducir la cantidad de líneas de código. f. Los programadores deben implementar funciones de alta consecuencia en las líneas de código mínimas requeridas y seguir los estándares de codificación adecuados.

33. ¿Qué puede causar una brecha de seguridad de datos en una base de datos?. a. Uso excesivo de cifrado. b. Baja conectividad de red. c. No aplicar parches de seguridad. d. Falta de personal en la base de datos.

34. Una organización desarrolla un modelo de IA utilizando datos anonimizados en lugar de datos reales para proteger la privacidad de los usuarios. ¿Qué técnica está utilizando el equipo para cumplir con las regulaciones de privacidad?. a. Plataforma de gestión de consentimiento. b. Uso de datos sintéticos. c. Derecho de corrección. d. Entrenamiento adversarial.

35. Un desarrollador web está migrando una aplicación a un entorno móvil, pero el dispositivo tiene baja capacidad de memoria. ¿Qué debería hacer?. a. Aumentar el almacenamiento del dispositivo. b. Rediseñar para incluir solo funciones esenciales. c. Usar exclusivamente APIs de escritorio. d. Reducir el soporte del dispositivo.

36. ¿Cuál es una solución para prevenir ataques SSRF?. a. Hacer uso de bibliotecas de URLs antiguas. b. Validar y sanear entradas del usuario. c. Deshabilitar la autenticación de usuario. d. Implementar una red de contenedores.

37. ¿Qué recomienda OWASP para mitigar riesgos de seguridad y mejorar la comprensión de las decisiones del modelo?. a. Reducir los datos recolectados. b. Mantener registros cifrados. c. Proveer explicaciones comprensibles mediante LIME o SHAP. d. Realizar auditorías periódicas.

38. Cuando una aplicación de IA cambia sus políticas de privacidad o introduce nuevas funcionalidades, ¿qué debe hacer la empresa respecto al consentimiento de los usuarios?. a. No es necesario hacer nada si el consentimiento ya ha sido obtenido. b. La empresa debe notificar a los usuarios y pedirles que revisen y confirmen nuevamente su consentimiento. c. Solo se debe actualizar el consentimiento si hay un cambio en el algoritmo. d. El consentimiento no es necesario si las políticas no cambian.

39. ¿Qué actividad inicial se realiza en la gestión de configuraciones de software (SCM)?. a. Identificación de artículos de configuración. b. Análisis de vulnerabilidades. c. Auditorías técnicas. d. Registro de solicitudes de cambio.

40. ¿Qué medida es un ejemplo de control de seguridad física?. a. Autenticación de dos factores. b. Software antivirus. c. Firewalls. d. Tarjetas de control de acceso.

41. Con el fin de lograr prevenir la amenaza del tipo Configuración incorrecta de seguridad, decide realizar un proceso de hardening, el cual involucra eliminar componentes no necesarios, por ejemplo, cuentas, programas, librerías y demás. Además de lo anterior, decide automatizar el proceso de verificación de control de cambios y de configuración. ¿Esto logrará impedir que se materialice la amenaza?. a. Falso. b. Verdadero.

42. Un equipo está configurando su infraestructura en la nube. ¿Qué práctica de seguridad deben implementar?. a. Ignorar las claves API. b. Dejar las claves de acceso expuestas en el código fuente. c. Proteger las claves SSH de las API utilizadas en el código. d. No verificar las claves SSH.

43. En un pipeline de DevSecOps, ¿qué herramientas son utilizadas en la fase de construcción para detectar fallas en el código antes de su implementación?. a. Herramientas de prueba dinámica de aplicaciones (DAST). b. Plataformas de análisis de vulnerabilidades. c. Herramientas de prueba estática de aplicaciones (SAST). d. Consolas de administración SaaS.

44. ¿Qué tipo de vulnerabilidades permiten al atacante acceder a objetos de datos cuyo acceso debería haberse restringido?. a. Gestión inadecuada del inventario. b. Acceso sin restricciones a flujos comerciales sensibles. c. Consumo de recursos sin restricciones. d. Falsificación de solicitudes del lado del servidor. e. Autorización de nivel de objeto roto. f. Configuración incorrecta de seguridad.

45. ¿Qué práctica ayuda a garantizar que un modelo de IA sea resistente a manipulaciones externas?. a. Realizar pruebas de caja blanca. b. Implementar pruebas adversariales. c. Utilizar OWASP ZAP. d. Supervisar métricas clave.

46. Considerando una aplicación con una validación de entrada pobre (se omiten sustituir valores, eliminar caracteres especiales o no se literaliza la entrada), ¿qué tipo de amenazas podrían presentarse?. a. Robo de sesión. b. Inyección SQL. c. Mensajes de error detallados. d. Falsificación de solicitudes del lado del servidor. e. XSS. f. Fuerza Bruta.

47. Con el fin de lograr prevenir cierto tipo de vulnerabilidad, decide implementar el número máximo de intentos de autenticación permitido y, cuando haya pasado ese número, denegar de forma predeterminada y desactivar la cuenta hasta que se realice un procedimiento para reactivarla. ¿Esto logrará impedir que se materialice qué tipo de amenaza?. a. Falsificación de solicitudes del lado del servidor. b. Fallos de integridad de software y datos. c. Inyección. d. Configuración incorrecta de seguridad. e. Errores de identificación y autenticación. f. Fallos de integridad de software y datos.

48. Un usuario es incapaz de desactivar permisos innecesarios en una aplicación móvil. ¿Qué vulnerabilidad se está explotando?. a. Autenticación Insegura. b. Protección binaria insuficiente. c. Configuración incorrecta de seguridad. d. Criptografía insuficiente.

49. ¿Qué tipo de vulnerabilidad permite que el atacante pueda acceder, modificar, agregar y eliminar valores de propiedad a los objetos?. a. Falsificación de solicitudes del lado del servidor. b. Autorización de nivel de propiedad de objeto roto. c. Consumo de recursos sin restricciones. d. Gestión inadecuada del inventario. e. Acceso sin restricciones a flujos comerciales sensibles. f. Configuración incorrecta de seguridad.

50. Un equipo realiza cambios frecuentes en los contenedores sin monitoreo. ¿Qué problema podría surgir?. a. Los contenedores se implementarán más rápido. b. La introducción de vulnerabilidades no identificadas. c. No será necesario hacer más pruebas. d. Los cambios serán más fáciles de revertir.

51. Un desarrollador no está seguro de si su código contiene errores de seguridad. ¿Qué herramienta debería utilizar para revisarlo?. a. Revisar el código manualmente sin ninguna herramienta. b. Herramientas de pruebas estáticas de seguridad (SAST). c. Desplegar el código sin hacer ninguna revisión. d. Hacer pruebas de seguridad solo después del lanzamiento.

52. Una empresa necesita una aplicación que funcione offline con datos limitados. ¿Qué opción sería ideal?. a. Desarrollo nativo. b. Desarrollo híbrido. c. Aplicación basada en la nube. d. Aplicación web progresiva.

53. Un equipo de DevOps necesita identificar vulnerabilidades asociadas con la autenticación de usuarios y la inyección SQL en su aplicación. ¿Qué herramientas debería usar en el pipeline?. a. Plataformas de administración de artefactos. b. Consolas de gestión de la nube. c. Herramientas de prueba estática de aplicaciones (SAST). d. Herramientas de prueba dinámica de aplicaciones (DAST).

54. Un modelo de IA utilizado para clasificar correos electrónicos está dando resultados inconsistentes debido a errores en el conjunto de datos de entrenamiento. Tras una auditoría, se decide implementar revisiones periódicas de los datos para evitar futuros problemas. ¿Qué medida están adoptando los desarrolladores?. a. Implementación de pruebas de sesgo. b. Entrenamiento adversarial. c. Auditorías periódicas de datos. d. Uso de plataformas de consentimiento.

55. Un administrador de sistemas, gracias a la información que captura el sistema, como lo son eventos de inicio de sesión, el registro de actividad y demás, es capaz de ver qué acciones realiza cada usuario. Considerando que un individuo intentase negar sus acciones, ¿qué requerimiento de seguridad sería capaz de brindar el registro de actividad?. a. Confidencialidad. b. Integridad. c. Disponibilidad. d. No repudio. e. Autorización. f. Autentificación.

56. ¿Cómo se puede reducir la superficie de ataque de una API?. a. Limitar el número de solicitudes a la API. b. Permitiendo todos los puntos de acceso sin restricciones. c. Hacer uso de una sola clave de API para todo el sistema. d. Exponer todas las funciones de la API.

57. ¿Qué debe hacer un desarrollador si se descubre un acceso no autorizado a una API?. a. Ignorar la configuración de firewall. b. Validar nuevamente las URLs. c. No permitir ninguna entrada del cliente. d. Aplicar reglas WAF para bloquear el acceso.

58. ¿Qué tipo de vulnerabilidad puede ocurrir si no se gestiona adecuadamente el uso de WebViews en una aplicación móvil?. a. Mejora del rendimiento de la aplicación. b. Exposición accidental de datos confidenciales. c. Mejora de la experiencia del usuario. d. Acceso no autorizado a la cámara del dispositivo.

59. En un proceso de CI/CD automatizado, ¿cuál es la mejor forma de manejar los artefactos generados?. a. Dejar los artefactos sin verificar hasta el final del ciclo de vida. b. No almacenar los artefactos en un repositorio. c. Usar un repositorio de artefactos centralizado. d. Eliminar artefactos inmediatamente después de la compilación.

60. Con el fin de lograr prevenir la amenaza del tipo Diseño inseguro, decide realizar modificaciones en el código para reforzar la validación de entrada y realizar las consultas a la BD usando consultas parametrizadas ya desinfectadas. ¿Esto logrará impedir que se materialice la amenaza?. a. Falso. b. Verdadero.

61. Una organización descubre que varios de sus artefactos de compilación obsoletos están ocupando espacio en su repositorio de CI. ¿Qué medida debería tomar para gestionar eficientemente estos artefactos?. a. Migrar todos los artefactos a un repositorio público. b. Especificar las condiciones para eliminar artefactos en función del tiempo o espacio disponible. c. Automatizar los scripts de aprovisionamiento de infraestructura. d. Implementar pruebas DAST durante el ciclo de vida de los artefactos.

62. ¿Qué sucede después de una autenticación exitosa?. a. Se emite un identificador de sesión (ID) para el usuario. b. Se borra la sesión de inmediato. c. La sesión se expira automáticamente. d. El usuario debe volver a ingresar las credenciales.

63. Los parámetros de consulta de URL se utilizan a menudo para transmitir argumentos de solicitud a un servidor; sin embargo, son visibles al menos en los registros del servidor, y a menudo también en el análisis del sitio web y posiblemente en el historial del navegador local. ¿Qué amenaza se describe en el ejemplo anterior?. a. Protecciones binarias insuficientes. b. Validación de entrada/salida insuficiente. c. Comunicación insegura. d. Autenticación/Autorización insegura. e. Controles de privacidad inadecuados. f. Uso inadecuado de credenciales.

64. ¿Qué amenazas al software pueden incluirse en el modelado de amenazas?. a. Amenazas de divulgación, alteración y disponibilidad. b. Solo amenazas de alteración. c. Solo amenazas de divulgación. d. Solo ataques de inyección.

65. Un atacante obtiene acceso no autorizado a un servidor Back-End aprovechando una mala configuración de seguridad en la aplicación móvil. ¿A qué vulnerabilidad corresponde?. a. Configuración incorrecta de seguridad. b. Protección binaria insuficiente. c. Autenticación insegura. d. Validación insuficiente.

66. Con el fin de lograr prevenir la amenaza del tipo Componentes vulnerables y obsoletos, decide realizar una investigación para SCAar a la luz el shadow IT, de tal forma que descubre ciertos componentes que no tenía contemplados, además de las versiones de los mismos. ¿Esto logrará impedir que se materialice la amenaza?. a. Verdadero. b. Falso.

67. Se produce cuando las API procesan solicitudes de direcciones URL controladas por el usuario y obtienen recursos remotos del servidor sin validar la solicitud del usuario. a. Autorización de nivel de función rota. b. Configuración incorrecta de seguridad. c. Acceso sin restricciones a flujos comerciales sensibles. d. Autorización de nivel de propiedad de objeto roto. e. Falsificación de solicitudes del lado del servidor. f. Gestión inadecuada del inventario.

68. Un equipo de desarrollo utiliza datos financieros históricos para entrenar un modelo de IA que predice tendencias de mercado. Antes del entrenamiento, aplican técnicas de normalización y eliminan valores atípicos para garantizar que los datos sean consistentes y precisos. ¿Qué buena práctica están aplicando?. a. Consentimiento explícito. b. Uso de datos sintéticos. c. Limpieza de datos. d. Auditorías periódicas.

69. ¿Cuál es una pregunta clave al definir requerimientos de archivado?. a. ¿Cuál es el costo del software utilizado?. b. ¿Durante cuánto tiempo se almacenarán los archivos?. c. ¿Qué tipo de dispositivo móvil usará el sistema?. d. ¿Cómo se protegerá contra phishing?.

70. Al cifrar datos sumamente sensibles como, por ejemplo, una llave criptográfica usada en un cifrado simétrico, se utiliza un cifrado asimétrico. Usando este tipo de cifrado, una llave se divulga libremente y otra se mantiene en secreto. En ese sentido, ¿cuál es la llave que se mantiene en secreto?. a. Llave de cifrado. b. Llave de sellado. c. Llave singular. d. Llave única. e. Llave pública. f. Llave privada.

71. Un equipo de desarrollo de IA actualiza las políticas de privacidad de su aplicación y comienza a usar datos de los usuarios para un nuevo propósito. ¿Qué deben hacer para cumplir con las regulaciones de privacidad?. a. Modificar el consentimiento de manera automática. b. Anonimizar los datos sin necesidad de notificación. c. Continuar usando los datos bajo el consentimiento previo. d. Notificar a los usuarios y solicitarles que confirmen nuevamente su consentimiento.

72. ¿Qué principio de seguridad se viola al otorgar derechos administrativos durante la instalación de software?. a. Principio de diseño seguro. b. Separación de funciones. c. Principio de menor privilegio. d. Revisión de configuraciones.

73. ¿Qué requisito de seguridad protege contra la divulgación no autorizada de información sensible?. a. Disponibilidad. b. Integridad. c. Confidencialidad. d. Transparencia.

74. ¿Qué es el modelo DREAD?. a. Un protocolo de autenticación. b. Una herramienta de gestión de proyectos. c. Un software de análisis de amenazas. d. Un sistema de puntuación de riesgos.

75. ¿Qué ataque aprovecha la reutilización de un ID de sesión conocido?. a. Fijación de sesión. b. Validación insuficiente. c. Ataque de diccionario. d. Inyección SQL.

76. ¿Qué técnica debe emplearse para proteger los datos durante el tiempo que se almacenan, según OWASP?. a. Pruebas de caja blanca. b. Pruebas adversariales. c. Técnicas de cifrado robusto. d. Sistemas de monitoreo en tiempo real.

77. ¿Son recursos que un atacante puede aprovechar para construir un ataque contra el software?. a. Bandejas de correo. b. Superficie de ataque. c. Usuarios afectados. d. Dispositivos infectados. e. Objetivos y habilitadores. f. Canales y protocolos.

78. Al comparar las pruebas SCA y DAST, ¿cuáles de las siguientes afirmaciones son correctas?. a. DAST evalúa cómo está escrito el programa, permitiendo detectar fallas de seguridad en el mismo. b. DAST se centra en analizar los componentes desarrollados en tiempo de ejecución. c. SCA se centra en analizar cómo funcionan los componentes a tiempo de ejecución. d. DAST se centra en analizar los componentes utilizados. e. SCA se centra en analizar los componentes externos en busca de elementos vulnerables. f. SCA permite evaluar lo mismo que DAST.

79. ¿Cómo se llama el proceso que se enfoca en la seguridad después del proceso de desarrollo?. a. Desarrollo ágil. b. Desplazar la seguridad a la derecha. c. Automatización. d. Concientización. e. DEVOPS. f. SCRUM.

80. Un atacante inyecta datos no validados a través de un formulario de entrada en una aplicación móvil. ¿Cuál es la vulnerabilidad explotada?. a. Seguridad inadecuada de la cadena de suministro. b. Criptografía insuficiente. c. Almacenamiento inseguro de datos. d. Validación de entrada/salida insuficiente.

81. Un atacante envía grandes cantidades de solicitudes para colapsar un servicio de API. ¿Qué vulnerabilidad está explotando?. a. Consumo de recursos sin restricción. b. Acceso no autorizado a flujos sensibles. c. Autenticación rota. d. Autorización de objeto rota.

82. Usted, como administrador de la plataforma, recibe recomendaciones de un compañero de ciberseguridad para poder llevar a cabo un hardening de la configuración de la plataforma donde corren las aplicaciones más importantes de la empresa. En ese sentido, el objetivo final de llevar a cabo el hardening es reducir uno de los siguientes conceptos. a. Superficie de ataque. b. Fortaleza. c. Falla. d. Vulnerabilidad. e. Debilidad. f. Amenaza.

83. ¿Qué principio guía permite la determinación del riesgo en una aplicación?. a. Riesgo = Probabilidad de ocurrencia * Impacto. b. Ignorar vulnerabilidades menores. c. Resolver únicamente riesgos económicos. d. Probar solo en entornos controlados.

84. ¿Qué herramienta ayuda a proteger las aplicaciones web de tráfico malicioso?. a. Las API de terceros. b. Los scripts de validación. c. Los cortafuegos de aplicaciones web (WAF). d. Las vulnerabilidades del código abierto.

85. ¿Cuáles serían las tareas de seguridad durante la fase de pruebas?. a. Análisis de código dinámico sobre la aplicación. b. Realización de plan de incidentes. c. Documentación de la superficie de ataque. d. Análisis de código estático sobre la aplicación. e. Revisiones de código. f. Aplicación de estándares de desarrollo.

86. Un usuario no autorizado accede a recursos de la API debido a un fallo en la autorización de nivel de objeto. ¿Qué vulnerabilidad está presente?. a. Autenticación rota. b. Autorización de objeto rota. c. Consumo de recursos sin restricción. d. Acceso no autorizado a flujos sensibles.

87. ¿Qué categoría está diseñada para ayudar a los desarrolladores a garantizar que los datos confidenciales almacenados intencionalmente por la aplicación estén protegidos adecuadamente, independientemente de la ubicación de destino?. a. MASVS-NETWORK. b. MASVS-AUTH. c. MASVS-DEVOPS. d. MASVS-CRYPTO. e. MASVS-STORAGE. f. MASVS-PLATFORM.

88. Un equipo de desarrollo quiere asegurarse de que las políticas de seguridad estén actualizadas antes de la implementación de una aplicación. ¿Qué debe hacer?. a. Implementar sin hacer ninguna revisión de seguridad. b. Revisar todas las políticas de seguridad antes del despliegue. c. Ignorar las políticas de seguridad hasta después del despliegue. d. Solo hacer pruebas de seguridad a posteriori.

89. Un equipo decide utilizar contenedores sin cifrado. ¿Cuál es el riesgo?. a. El contenedor será más rápido. b. No habrá vulnerabilidades. c. Los contenedores serán más fáciles de manejar. d. Exposición de datos confidenciales y acceso no autorizado.

90. ¿Qué permite el modelado de amenazas durante el desarrollo de software?. a. Aumentar el tiempo de desarrollo. b. Identificar problemas de seguridad en diseño. c. Ignorar vulnerabilidades de baja probabilidad. d. Evitar revisiones manuales.

91. Si no se gestiona con cuidado, un cliente de la API podría tener acceso a recursos que no deberían estar a su disposición, lo que aumenta la posibilidad de que se produzca una fuga de datos. a. Autorización. b. Autenticación. c. Logging. d. Confidencialidad. e. Disponibilidad. f. Monitoreo.

92. Una empresa decide recopilar datos de ubicación de sus usuarios para mejorar su sistema de navegación. Meses después, comienza a usarlos para enviar publicidad geolocalizada sin informar a los usuarios. ¿Qué acción debió tomar la empresa para actuar éticamente?. a. Anonimizar los datos de ubicación. b. Implementar auditorías de los sistemas de recopilación de datos. c. Utilizar los datos para publicidad sin informar a los usuarios, ya que el consentimiento original cubre cualquier uso futuro. d. Obtener el consentimiento explícito de los usuarios para el nuevo uso de sus datos.

93. ¿Qué acción tomaría un atacante para realizar un ataque de SSRF?. a. Cambiar las respuestas en el servidor. b. Manipular las credenciales de autenticación. c. Manipular las URLs controladas por el usuario. d. Utilizar tokens OAuth para acceder a los recursos.

94. Una empresa desarrolla un modelo de IA para analizar datos financieros y utiliza una base de datos que incluye información personal de los usuarios. Un cliente solicita eliminar todos sus datos personales de los sistemas, incluyendo el conjunto de datos de entrenamiento del modelo. ¿Qué derecho está ejerciendo el cliente?. a. Derecho de acceso/portabilidad. b. Derecho de oposición. c. Derecho de corrección. d. Derecho de supresión.

95. ¿Qué opción permite a los desarrolladores evitar el uso de datos personales sin comprometer la calidad del modelo?. a. Utilizar un sistema de cifrado robusto. b. Usar datos sintéticos. c. Limitar el acceso solo a datos no sensibles. d. Realizar auditorías constantes de seguridad.

96. Considerando las distintas pruebas que se realizan sobre el software para garantizar su funcionalidad, si hablamos de una prueba que se enfoca en justamente validar el comportamiento del sistema ante las acciones que realiza un atacante, ¿de qué tipo de prueba estamos hablando?. a. Pruebas lógicas. b. Pruebas de regresión. c. Pruebas de rendimiento. d. Pruebas de penetración. e. Pruebas unitarias. f. Pruebas de seguridad.

97. ¿Qué ataque se lleva a cabo para saturar un servidor web hasta inutilizarlo?. a. DoS. b. Inyección SQL. c. Phishing. d. Whaling.

98. ¿Qué es el diseño y desarrollo de aplicaciones web?. a. Es el uso de tecnologías para implementar las necesidades, objetivos o ideas de los clientes en Internet. b. Es la creación de videojuegos para Internet. c. Es la implementación de herramientas internas para empresas. d. Es la creación de sitios web exclusivamente para empresas.

99. Un equipo de desarrollo planea crear una aplicación con una experiencia fluida, utilizando funciones específicas de hardware, como la cámara. ¿Qué tipo de desarrollo es más adecuado?. a. Desarrollo nativo. b. Aplicación PWA. c. Desarrollo web. d. Desarrollo híbrido.

100. Con el fin de lograr prevenir la amenaza del tipo errores criptográficos, decide almacenar la clave criptográfica junto con los datos que se están respaldando. ¿Esto logrará impedir que se materialice la amenaza?. a. Falso. b. Verdadero.

101. Un equipo de TI está lidiando con múltiples errores que se detectan demasiado tarde en el ciclo de desarrollo. ¿Qué proceso deben adoptar para detectar estos errores temprano?. a. Hacer pruebas solo en el entorno de producción. b. Implementar pruebas automáticas durante el desarrollo (Continuous Testing). c. Esperar hasta el final del ciclo para realizar pruebas. d. Realizar solo pruebas de integración.

102. Una empresa está desarrollando un modelo de IA para la contratación de personal y ha usado un conjunto de datos históricamente sesgado. ¿Qué problema podría surgir al entrenar el modelo con estos datos?. a. El modelo aprenderá solo de los mejores candidatos. b. El modelo no tendrá efectos negativos en la calidad de las decisiones. c. El modelo podría perpetuar desigualdades o tomar decisiones injustas. d. El modelo tomará decisiones justas y equilibradas.

103. ¿Cuál es la relevancia de incorporar pruebas de seguridad en todas las etapas del Ciclo de Vida del Desarrollo de Software (SDLC)?. a. Para facilitar la implementación. b. Para reducir costos en fases avanzadas. c. Para eliminar todos los riesgos. d. Para evitar la formación de equipos de seguridad.

104. Imagine que una empresa de software ha decidido implementar SCA en su proceso de desarrollo para mejorar la calidad y seguridad de sus aplicaciones. El equipo de desarrollo desea asegurarse de que todas las posibles vulnerabilidades y errores de codificación se detecten antes del lanzamiento de la aplicación. ¿Cuál de las siguientes afirmaciones describe mejor el papel de SCA en este escenario?. a. SCA ayuda a encontrar vulnerabilidades de seguridad sin necesidad de ejecutar la aplicación, permitiendo detectar problemas en componentes de terceros a lo largo del ciclo de desarrollo. b. SCA detecta vulnerabilidades de seguridad solo cuando la aplicación está en ejecución, lo que hace que no sea útil para este caso. c. SCA reemplaza todas las pruebas de seguridad y calidad necesarias, eliminando la necesidad de realizar revisiones manuales o pruebas dinámicas. d. SCA solo se utiliza para evaluar el rendimiento de la aplicación, no tiene impacto en la calidad o seguridad del código. e. SCA analiza el código en ejecución, por lo que no es necesario realizar pruebas estáticas adicionales. f. SCA solo se enfoca en encontrar vulnerabilidades en aplicaciones móviles, no es útil para aplicaciones web.

105. Los atacantes prueban sistemáticamente varias combinaciones de claves hasta que encuentran la correcta para descifrar los datos. ¿Qué amenaza se describe en el ejemplo anterior?. a. Uso inadecuado de credenciales. b. Criptografía insuficiente. c. Autenticación/Autorización insegura. d. Comunicación insegura. e. Validación de entrada/salida insuficiente. f. Controles de privacidad inadecuados.

106. Un usuario sin privilegios adecuados modifica propiedades de un objeto a través de la API. ¿Qué vulnerabilidad está presente?. a. Autenticación rota. b. Autorización de nivel de propiedad rota. c. Función de autorización rota. d. Acceso no autorizado a flujos sensibles.

107. ¿En qué tipo de lenguajes de programación el código fuente no se compila ni se convierte en códigos de instrucciones específicos del procesador?. a. Lenguaje máquina. b. Lenguajes de alto nivel. c. Lenguajes de bajo nivel. d. Lenguajes compilados. e. Lenguaje ensamblador. f. Lenguajes interpretados.

108. El código Back-End que procesa la solicitud no verifica que la identidad asociada con una solicitud tiene derecho a ejecutar el servicio. Por lo tanto, los atacantes pueden acceder a funcionalidad administrativa remota utilizando cuentas de usuario con privilegios bastante bajos. ¿Qué amenaza se describe en el ejemplo anterior?. a. Comunicación insegura. b. Autenticación/Autorización insegura. c. Controles de privacidad inadecuados. d. Validación de entrada/salida insuficiente. e. Protecciones binarias insuficientes. f. Uso inadecuado de credenciales.

109. ¿Cuál es una amenaza interna en seguridad de bases de datos?. a. Hacker externo que obtiene acceso. b. Vulnerabilidades del software. c. Ataques de inyección SQL. d. Empleados con credenciales de acceso privilegiado.

110. ¿Qué es un ataque de inyección en el contexto de APIs?. a. Un ataque que inserta comandos maliciosos a través de entradas de la API. b. Un ataque que deshabilita un servidor. c. Un ataque que realiza solicitudes a un servidor interno. d. Un ataque que busca robar claves API.

111. Una empresa quiere utilizar datos personales de los usuarios en su modelo de IA. ¿Qué debe hacer para cumplir con las regulaciones de privacidad como el GDPR?. a. Obtener el consentimiento explícito de los usuarios antes de procesar sus datos. b. Recoger los datos sin necesidad de consentimiento, ya que son para fines internos. c. Utilizar los datos sin el consentimiento explícito de los usuarios. d. Informar a los usuarios solo después de usar sus datos.

112. Para garantizar la privacidad de la información, una empresa implementa políticas DLP; las políticas establecen tres etiquetas para los datos: público, interno, confidencial. Considerando lo anterior, ¿qué requerimiento de seguridad se abordó en la solución?. a. Atomicidad. b. Autorización. c. Confidencialidad. d. Disponibilidad. e. No repudio. f. Integridad.

113. Implementar la validación y el filtrado de URLs para bloquear o desinfectar URLs potencialmente maliciosas. Monitorear y registrar solicitudes del lado del servidor para detectar e investigar actividad sospechosa. ¿Los anteriores son ejemplos de soluciones ante cuál tipo de amenaza?. a. Configuración incorrecta de seguridad. b. Acceso sin restricciones a flujos comerciales sensibles. c. Falsificación de solicitudes del lado del servidor. d. Autorización de nivel de propiedad de objeto roto. e. Gestión inadecuada del inventario. f. Autorización de nivel de función rota.

114. ¿Qué categoría establece controles que cubren el uso seguro de los mecanismos IPC proporcionados por la plataforma, las configuraciones de WebView para evitar la fuga de datos confidenciales y la exposición a la funcionalidad, y la visualización segura de datos confidenciales en la interfaz de usuario de la aplicación?. a. MASVS-AUTH. b. MASVS-PLATFORM. c. MASVS-STORAGE. d. MASVS-CRYPTO. e. MASVS-NETWORK. f. MASVS-DEVOPS.

115. Con el fin de lograr prevenir cierto tipo de vulnerabilidad, decide usar componentes de terceros descargados de fuentes oficiales, identificando las versiones de los componentes y de sus dependencias, manteniéndolas actualizadas. ¿Esto logrará impedir que se materialice qué tipo de amenaza?. a. Configuración incorrecta de seguridad. b. Errores de identificación y autenticación. c. Falsificación de solicitudes del lado del servidor. d. Errores de registro y supervisión de seguridad. e. Componentes vulnerables y obsoletos. f. Fallos de integridad de software y datos.

116. Al implementar un contenedor en producción, ¿cuál es una medida esencial de seguridad?. a. Desactivar las herramientas de monitoreo para reducir la sobrecarga. b. Usar contenedores sin ningún control de acceso. c. Monitorear constantemente el contenedor en busca de actividades sospechosas. d. Desplegar los contenedores y esperar sin hacer un monitoreo.

117. ¿Qué práctica recomienda OWASP para garantizar que los modelos respeten la privacidad de los usuarios durante el desarrollo de IA?. a. Ofrecer opciones de consentimiento pasivas. b. Implementar pruebas de privacidad. c. Revisar únicamente la seguridad de los datos. d. Utilizar solo datos sintéticos sin analizar su origen.

118. Hablando de la técnica de modelado de amenazas STRIDE, seleccione las opciones que forman parte del siguiente escenario: Un atacante envía un correo electrónico inicialmente inofensivo, de tal forma que al momento de abrirlo por un usuario potencialmente no pasa nada. Pasa el tiempo y se observa un cambio en el equipo, los archivos ahora tienen una extensión extraña y no se pueden abrir debido al cifrado de la información por parte del atacante. a. Elevation of privileges. b. Denial of service. c. Tampering. d. Information disclosure. e. Exploitation. f. Spoofing.

119. ¿Cuál de los siguientes es un ejemplo de una mala práctica en gestión de claves criptográficas?. a. Almacenar la clave criptográfica junto con los datos en una cinta de respaldo. b. Destruir las claves de forma correcta. c. Utilizar claves largas y seguras. d. Realizar rotaciones frecuentes de claves.

120. ¿Cuál es la tarea que se lleva a cabo en la fase de diseño del SDLC para abordar la seguridad?. a. Crear el modelo de amenazas. b. Aplicar pruebas dinámicas. c. Desarrollar pruebas de verificación. d. Implementar estándares de codificación segura.

121. ¿Qué práctica ayuda a corregir errores y detectar sesgos en los resultados de los modelos de IA?. a. Validación de métricas clave. b. Entrenamiento continuo. c. Trazabilidad y auditorías de decisiones. d. Supervisión en tiempo real.

122. ¿Qué tipo de ataque permite adivinar contraseñas mediante prueba y error?. a. Ataques XSS. b. Ataques de lógica de aplicaciones. c. Secuestro de sesión. d. Ataques de fuerza bruta.

123. Hablando de la técnica de modelado de amenazas STRIDE, seleccione las opciones que forman parte del siguiente escenario: Un atacante realiza un ataque de ingeniería social para obtener las credenciales de la víctima. Al acceder a la cuenta del usuario, realiza una descarga de toda la información almacenada en el sistema asociada a la persona; después borra el historial de operaciones realizadas en la cuenta de la víctima. a. Repudiation. b. Information disclosure. c. Sesión hijacking. d. Spoofing. e. Resale of data. f. Information destruction.

124. Al momento de descargar alguna librería o dependencia para poder desarrollar la aplicación, ¿qué elemento debemos evaluar para poder corroborar que los datos no han sido modificados o alterados durante el proceso de descarga?. a. Algoritmo de cifrado. b. Firma digital. c. Bits de paridad. d. Algoritmo natural. e. Funcion hash.

125. Un atacante realiza múltiples intentos de acceso a la API utilizando contraseñas comunes. ¿Qué vulnerabilidad está aprovechando?. a. Autenticación rota. b. Autorización de objeto rota. c. Consumo de recursos sin restricción. d. Acceso no autorizado a flujos sensibles.

126. Un desarrollador quiere que una app funcione con una gran cantidad de usuarios sin afectar el rendimiento del dispositivo. ¿Cuál es la mejor solución?. a. Limitar las funcionalidades de la app. b. Usar procesamiento en la nube. c. Optimizar el código en el dispositivo. d. Aumentar la capacidad del dispositivo.

127. ¿Cuál es la función principal de la gestión de secretos en un entorno digital?. a. Monitorear el tráfico de red. b. Almacenar y gestionar de manera segura las credenciales de autenticación. c. Realizar copias de seguridad de las bases de datos. d. Automatizar procesos de desarrollo.

128. Durante la integración continua, un equipo omite la automatización de la verificación de seguridad. ¿Cuál es el impacto?. a. Los contenedores se desarrollan más rápido. b. El proceso de integración se acelera. c. Aumento de los riesgos de seguridad por errores humanos. d. El sistema operativo se actualizará automáticamente.

129. ¿Qué significa el término MTD en el contexto de disponibilidad?. a. Máxima duración del tiempo operativo. b. Tiempo permitido para reiniciar el servidor. c. Tiempo máximo tolerable de inactividad. d. Tiempo para recuperar operaciones.

130. ¿Qué ocurre cuando un servidor permite solicitudes maliciosas sin validación en una API?. a. Se produce un SSRF. b. La API realiza un análisis de tráfico. c. La API no responde. d. Se produce un ataque DDoS.

131. ¿Qué es fundamental en un diseño seguro?. a. Uso de encabezados predeterminados. b. Hardening de servidores. c. No utilizar claves criptográficas. d. Modelado de amenazas y evaluación constante.

132. Un atacante usa un proxy para manipular la comunicación entre la aplicación móvil y el servidor. ¿Qué vulnerabilidad está siendo explotada?. a. Comunicación insegura. b. Almacenamiento inseguro de datos. c. Configuración incorrecta de seguridad. d. Criptografía insuficiente.

133. Según OWASP, ¿qué busca el principio de minimización de datos?. a. Mejorar la precisión de los modelos. b. Reducir los datos recolectados a lo necesario. c. Mantener todos los datos posibles. d. Evitar el almacenamiento en la nube.

134. Un atacante puede acceder a flujos comerciales confidenciales sin ninguna restricción a través de una API. ¿Qué vulnerabilidad está siendo explotada?. a. Consumo de recursos sin restricción. b. Autenticación rota. c. Autorización de nivel de propiedad rota. d. Acceso no autorizado a flujos sensibles.

135. Un equipo tiene problemas con la lentitud en la provisión de infraestructura debido a la intervención manual constante. ¿Qué solución puede adoptar?. a. Reemplazar todos los sistemas automáticos por procesos manuales. b. Evitar realizar pruebas en la infraestructura. c. Continuar con la provisión manual, pero incrementando el personal. d. Implementar Infraestructura como Código (IaC).

136. Una tienda de alimentos quiere que los usuarios puedan escanear códigos de barras con la cámara del teléfono. ¿Qué tipo de desarrollo sería más adecuado?. a. Aplicación web simple. b. Híbrido. c. Nativo. d. Basado en la nube.

137. Los desarrolladores dejan sus API y recursos vulnerables a ataques si los atacantes pueden manipular a proveedores externos. ¿A qué categoría de amenaza hace referencia el enunciado anterior?. a. Autorización de nivel de propiedad de objeto roto. b. Consumo inseguro de API. c. Acceso sin restricciones a flujos comerciales sensibles. d. Configuración incorrecta de seguridad. e. Falsificación de solicitudes del lado del servidor. f. Autorización de nivel de función rota.

138. Con el fin de lograr prevenir la amenaza del tipo Componentes vulnerables y obsoletos, decide hacer un inventario de los componentes usados, así como de las versiones utilizadas de los mismos, buscando en el proceso vulnerabilidades de forma regular. ¿Esto logrará impedir que se materialice la amenaza?. a. Verdadero. b. Falso.

139. Deshabilite características, servicios o módulos innecesarios para la funcionalidad de la API. Implementar mecanismos adecuados de manejo de errores y registro para evitar que la información confidencial se exponga. ¿Los anteriores son ejemplos de soluciones ante qué tipo de amenaza?. a. Configuración incorrecta de seguridad. b. Autorización de nivel de función rota. c. Acceso sin restricciones a flujos comerciales sensibles. d. Falsificación de solicitudes del lado del servidor. e. Autorización de nivel de propiedad de objeto roto. f. Gestión inadecuada del inventario.

140. ¿Qué tipo de control está diseñado específicamente para evitar ataques a los datos?. a. Controles de ciberseguridad. b. Controles de seguridad física. c. Controles en la nube. d. Controles de acceso físico.

141. Una aplicación de reconocimiento facial recopila datos de los rostros de sus usuarios para autenticar accesos. Posteriormente, esta información se usa para crear perfiles demográficos sin consentimiento previo. ¿Qué principio fundamental se está ignorando?. a. La auditoría de los datos recopilados. b. El uso de aprendizaje federado para proteger la privacidad. c. La seguridad en el almacenamiento de datos personales. d. La especificación de finalidad y consentimiento informado.

142. Un sistema de IA utilizado para detectar fraudes en transacciones bancarias empieza a mostrar un alto número de falsos negativos, pasando por alto transacciones fraudulentas. Tras investigar, se descubre que los datos utilizados para entrenar el modelo fueron manipulados para alterar los resultados. ¿Qué tipo de vulnerabilidad sufrió el modelo?. a. Exposición a datos sensibles. b. Envenenamiento de datos. c. Ataque adversarial. d. Ataque DDoS.

143. ¿Qué tipo de ataques pueden prevenirse con la correcta validación y desinfección de las entradas no confiables?. a. Ataques de Inyección SQL, XSS, y deserialización insegura. b. Accesos no autorizados a través de la red local. c. Ataques de fuerza bruta. d. Ataques de denegación de servicio (DoS).

144. Está lanzando una nueva aplicación y ha decidido utilizar una combinación de SCA, SAST y DAST para garantizar la calidad, seguridad y rendimiento del código. ¿Cuál de las siguientes afirmaciones describe mejor cómo SCA, SAST y DAST se complementan en este escenario?. a. SCA reemplaza las pruebas de seguridad realizadas por SAST y DAST, ya que se centra solo en la calidad del código. b. SCA se aplica solo a aplicaciones móviles, mientras que SAST y DAST son exclusivos para aplicaciones web. c. SCA se utiliza exclusivamente para probar el rendimiento de la aplicación en su entorno de producción, mientras que SAST y DAST solo se enfocan en la calidad del código. d. SCA, SAST y DAST son procesos idénticos que se usan solo en etapas finales de desarrollo, sin aplicar ningún análisis durante la fase de codificación. e. SCA se enfoca en revisar el código fuente en busca de vulnerabilidades, SAST identifica fallos de seguridad en el código antes de la ejecución, y DAST evalúa la aplicación en ejecución para detectar vulnerabilidades que solo pueden ser identificadas en tiempo real. f. SCA y SAST se utilizan en conjunto durante el desarrollo para detectar vulnerabilidades en el código fuente, mientras que DAST se aplica después del lanzamiento para probar el comportamiento de la aplicación en producción.

145. Un desarrollador nota que su aplicación móvil es demasiado lenta al cargar imágenes de alta calidad. ¿Cuál sería una solución eficiente?. a. Reducir la calidad de las imágenes. b. Limitar el uso de la aplicación. c. Usar almacenamiento en caché basado en la nube. d. Eliminar imágenes de la app.

146. ¿Cuál es el enfoque principal al desplazar la seguridad a la derecha?. a. Detectar vulnerabilidades en producción. b. Hacer auditorías exclusivas. c. Identificar fallos antes de desarrollo. d. Evitar pruebas manuales.

147. Esta técnica se puede llevar a cabo justo antes de desplegar la aplicación para prevenir posibles intentos de ingeniería social a la aplicación al realizar una serie de subtécnicas como alterar el orden de las instrucciones de ejecución del programa o cambiar el gráfico de control mediante la inserción de instrucciones de salto arbitrarias. a. Transformación de datos. b. Ofuscación. c. Ofuscación de flujo de código. d. Ofuscación de direcciones. e. Ofuscación de identificadores. f. DRM.

148. Una empresa implementa un modelo de IA que no ha sido entrenado con datos precisos. ¿Qué riesgo principal enfrenta la empresa?. a. El modelo se ajustará automáticamente a los datos erróneos sin afectar los resultados. b. El modelo tomará decisiones basadas en patrones defectuosos, lo que podría generar errores. c. El modelo será 100% confiable desde el inicio. d. El modelo será más seguro y eficiente.

149. ¿Cómo se llama el proceso que se enfoca en buscar vulnerabilidades en las etapas tempranas del desarrollo?. a. Desplazar la seguridad a la izquierda. b. SCRUM. c. DEVOPS. d. Concientización. e. Desarrollo ágil. f. Automatización.

150. ¿Qué es "Broken Object Property Level Authorization"?. a. Acceso sin restricciones a todas las propiedades de un objeto. b. Proceso adecuado de validación de todos los objetos. c. Uso de claves débiles en la autenticación. d. Acceso no autorizado a todas las funciones del servidor.

151. Un desarrollador no valida correctamente las entradas de los usuarios, lo que permite la ejecución de un ataque de inyección SQL. ¿Qué vulnerabilidad está presente?. a. Protección binaria insuficiente. b. Comunicación insegura. c. Validación insuficiente. d. Autenticación insegura.

152. Una empresa necesita rastrear métricas clave como precisión y tasa de error en tiempo real. ¿Qué herramienta o práctica debería implementar?. a. Aplicar pruebas de caja negra. b. Entrenar el modelo con más datos. c. Realizar pruebas adversariales periódicas. d. Desarrollar un dashboard de supervisión.

153. Como gerente de proyecto, usted y su equipo han identificado un evento de riesgo con una alta tasa de ocurrencia y un alto impacto en el costo. Usted decide discutir esta situación con la representante principal del cliente, y ella decide que los requisitos que rodean el riesgo deben eliminarse. La eliminación de los requisitos afecta al alcance del proyecto, pero puede liberarlo de la exposición al alto riesgo. ¿Qué respuesta al riesgo se ha puesto en marcha en este proyecto?. a. Mitigar el riesgo. b. Aceptar el riesgo. c. Transferir el riesgo. d. Evitar el riesgo. e. Ignorar el riesgo.

154. Con el fin de lograr prevenir la amenaza del tipo Falsificación de solicitudes del lado del servidor, decide realizar un inventario de las versiones de los componentes utilizados, además de inspeccionar el código de forma estática. ¿Esto logrará impedir que se materialice la amenaza?. a. Falso. b. Verdadero.

155. Al realizar solicitudes, por ejemplo, con AJAX, funcionan en segundo plano sin la intervención directa del usuario, lo que implica que no hay una visibilidad por parte del usuario de las operaciones que se llevan a cabo. Bajo estas condiciones, ¿un atacante podría llevar a cabo un robo de cookies?. a. Verdadero. b. Falso.

156. ¿Cuál es el proceso de evaluar los controles de seguridad de la información e implementar los procesos y herramientas adecuados en los sistemas de TI para proteger los datos utilizados y almacenados?. a. Control de Seguridad. b. Análisis post-mortem. c. Diseño de calidad. d. Arquitectura de seguridad. e. Prioridad de las amenazas. f. Modelado de amenazas.

157. Una empresa busca una solución para reducir la carga de datos en los dispositivos móviles, transfiriendo todo el procesamiento a servidores remotos. ¿Qué tecnología se recomienda?. a. Conexión con servicios en la nube. b. Desarrollo de apps nativas. c. Procesamiento en el dispositivo. d. Uso de gráficos avanzados.

158. Un atacante intercepta un token de autenticación para obtener acceso a los recursos de una API. ¿Qué vulnerabilidad está siendo explotada?. a. Autenticación rota. b. Consumo de recursos sin restricción. c. Autorización de objeto rota. d. Acceso no autorizado a flujos sensibles.

159. Un equipo está buscando reducir la vulnerabilidad a fallos de seguridad en sus aplicaciones. ¿Qué enfoque debería seguir?. a. Integrar prácticas de DevSecOps en todo el ciclo de vida del desarrollo. b. Realizar pruebas de seguridad solo al final del ciclo de vida del desarrollo. c. Evitar la automatización de pruebas de seguridad. d. Eliminar el uso de herramientas de seguridad en el proceso de desarrollo.

160. Usted, como administrador de sistemas, detecta que muchos de sus usuarios utilizan contraseñas comunes como las siguientes: password, 123456, 12345678, 1234, qwerty, 12345, dragon. Considerando esto, ¿cuál de las siguientes amenazas de OWASP TOP 10 se podría causar?. a. Fallos en la criptografía. b. Errores de identificación y autenticación. c. Inyección. d. Control de acceso roto. e. Fallos de integridad de software y datos. f. Diseño inseguro.

161. ¿Cómo puede un ataque de SSRF comprometer los sistemas internos de una API?. a. Accediendo sin validación a las respuestas de la API. b. Haciendo uso de claves API robadas. c. Manipulando la URL para acceder a servidores internos. d. Utilizando contraseñas débiles.

162. En un equipo DevOps, se está implementando un modelo de trabajo ágil. ¿Cómo se puede asegurar que el software esté siempre listo para ser desplegado?. a. Implementar Continuous Integration (CI). b. Solo implementar código cuando todo esté terminado. c. Usar solo pruebas manuales de integración. d. Reducir las pruebas automatizadas.

163. ¿Qué tipo de autenticación se recomienda para mejorar la seguridad?. a. Solo contraseña. b. Autenticación multifactor. c. Autenticación única. d. Autenticación por IP.

164. Durante el proceso de desarrollo de un modelo de IA para diagnóstico médico, los desarrolladores implementan un mecanismo que permite identificar y eliminar datos maliciosos antes de que sean utilizados para entrenar el modelo. ¿Qué medida están tomando los desarrolladores?. a. Defensa adversarial. b. Pruebas de caja negra. c. Monitoreo de comportamiento. d. Verificación y limpieza de datos.

165. Un desarrollador en un entorno DevOps quiere mejorar la seguridad. ¿Qué debería evitar hacer?. a. Asegurarse de que las imágenes de contenedor sean firmadas. b. Utilizar las herramientas de CI/CD de manera automatizada. c. Implementar políticas de acceso estrictas para las imágenes. d. Permitir que los contenedores adquieran nuevos privilegios sin control.

166. ¿Qué clasifica la 'Explotabilidad' en el modelo DREAD?. a. El tipo de tecnología utilizada. b. El número de sistemas afectados. c. La facilidad de explotar la amenaza. d. La visibilidad de la amenaza.

167. La aplicación móvil y un punto de conexión se conectan correctamente usando TLS para establecer un canal seguro de comunicación; sin embargo, la aplicación no inspecciona el certificado ofrecido por el servidor y la aplicación móvil acepta incondicionalmente cualquier certificado. ¿Qué amenaza se describe en el ejemplo anterior?. a. Validación de entrada/salida insuficiente. b. Comunicación insegura. c. Autenticación/Autorización insegura. d. Controles de privacidad inadecuados. e. Uso inadecuado de credenciales. f. Protecciones binarias insuficientes.

168. Pensando en que debe asegurarse que no se introduzcan cambios no autorizados durante el proceso de desarrollo para asegurar la confiabilidad y prevenir modificaciones no autorizadas en los requisitos de un sistema. ¿De qué tipo de criterios se está hablando?. a. Requerimientos de disponibilidad. b. Requerimientos de autenticación. c. Requerimientos de integridad. d. Requerimientos de confidencialidad. e. Requerimientos de manejo de errores. f. Requerimientos de manejo de configuraciones.

169. ¿Qué es una configuración de seguridad incorrecta?. a. Mantener mensajes de error detallados. b. Permitir contraseñas fuertes. c. Configurar credenciales únicas por entorno. d. Revisar configuraciones periódicamente.

170. ¿Qué derecho permite a los usuarios rechazar el uso de sus datos para fines específicos, como el entrenamiento de modelos?. a. Derecho de corrección. b. Derecho de oposición. c. Derecho de eliminación. d. Derecho de acceso/portabilidad.

171. Considerando la importancia de las métricas y de los logs, al momento de desplegar su aplicación, omite el hecho de utilizar una herramienta de escalamiento que trabaje con alguna métrica que mida el desempeño de la aplicación/del servidor donde está corriendo. ¿Esto puede considerarse una amenaza de errores de registro y supervisión de seguridad?. a. Verdadero. b. Falso.

172. ¿Qué función de seguridad ayuda a prevenir la suplantación de sesiones?. a. Uso de contraseñas complejas. b. Uso de sesiones únicas y aleatorias. c. Desactivar la autenticación multifactor. d. Implementación de la autorización basada en roles.

173. Un equipo de operaciones necesita una solución para gestionar la infraestructura virtual. ¿Qué opción es más adecuada?. a. Configurar manualmente la infraestructura en cada entorno. b. Evitar la virtualización de la infraestructura. c. Usar servidores físicos únicamente. d. Implementar Infraestructura como Código (IaC).

174. ¿Por qué es importante implementar mecanismos para hacer cumplir las actualizaciones de la aplicación?. a. Para evitar que los usuarios accedan a funciones premium sin pagar. b. Para garantizar que los usuarios siempre utilicen la última versión, corrigiendo vulnerabilidades conocidas. c. Para permitir que la aplicación funcione en versiones antiguas de plataformas móviles. d. Para mejorar la usabilidad de la aplicación.

Después de un evento inesperado que detuvo el sistema por una cantidad considerable de tiempo, le piden elaborar un documento donde se aborden ciertas métricas que midan el impacto del desastre en la continuidad del negocio. ¿Cuál de las siguientes opciones es el tiempo ofertado que, de no cumplirlo, puede haber sanciones por alguna de las partes?. a. RPO. b. MTD. c. RCO. d. SLA. e. RTO. f. RTA.

175. Una empresa nota que un modelo de IA está presentando sesgos en sus predicciones. Según OWASP, ¿qué debería realizarse para abordar esta situación?. a. Validar el entorno de operación del modelo. b. Realizar auditorías regulares del modelo. c. Probar el modelo con conjuntos de datos balanceados. d. Implementar pruebas adversariales.

176. ¿Qué tipo de errores deben evitarse en los registros de error de una API?. a. No registrar errores. b. Registrando solo información de tráfico. c. Mensajes de error genéricos. d. Mostrar información detallada sobre el servidor y la base de datos.

177. Dada la siguiente actividad, seleccione el nombre de la técnica empleada: Dentro de un formulario, usted espera distintos campos (por ejemplo, número de usuario, contraseña, correo de usuario, entre otros). De no validar y aplicar un proceso sobre estos datos de entrada, posiblemente pueden haber consecuencias perjudiciales por no procesar una entrada potencialmente peligrosa. En ese sentido, usted realiza una técnica para transformar esa entrada potencialmente peligrosa a una entrada inocua. a. Validación de entrada. b. Validación de salida. c. Refactoring. d. Recopilación. e. Sanitización. f. Rebuild.

1. Con el fin de lograr prevenir la amenaza del tipo de errores criptográficos, decide almacenar la clave criptográfica junto con los datos que se están respaldando. ¿Esto logrará impedir que se materialice la amenaza?. A)Verdadero. B)Falso.

2.Una tienda de alimentos quiere que los usuarios puedan escanear códigos de barras con la cámara del teléfono. ¿Qué tipo de desarrollo sería más adecuado?. a)Aplicación web simple. b)Basado en la nube. c)Nativo. d)Híbrido.

3.Una aplicación LAMP ha personalizado las pantallas de error predeterminadas y gestiona los errores de manera correcta, de tal forma que no revela ningún detalle de la aplicación y solo devuelve al usuario lo mínimo que necesita saber. De acuerdo a esto, ¿qué requerimiento de seguridad se está cumpliendo?. a)Requerimiento de seguimiento. b)Compartir bibliotecas con otros desarrolladores. c)Usar una sola biblioteca. d)No usar bibliotecas externas.

4.¿Qué acción puede prevenir vulnerabilidades al trabajar con bibliotecas de terceros?. a)Mantener las bibliotecas actualizadas. b)Compartir bibliotecas con otros desarrolladores. c)Usar una sola biblioteca. d)No usar bibliotecas externas.

5.¿Cuál es la característica fundamental que deben tener los ciclos de vida de desarrollo de software seguros (S-SDLC)?. a. Confidencialidad, integridad y disponibilidad. b. Simplificación de todas las fases del proyecto. c. Alto nivel de complejidad. d. Eliminar todas las vulnerabilidades.

7.Durante el proceso de desarrollo de un modelo de IA para diagnóstico médico, los desarrolladores implementan un mecanismo que permite identificar y eliminar datos maliciosos antes de que sean utilizados para entrenar el modelo. ¿Qué medida están tomando los desarrolladores?. a. Defensa adversarial. b. Monitoreo de comportamiento. c. Pruebas de caja negra. d. verificación y limpieza de datos.

8.Cuando trabajamos con lenguajes de programación, C# de .Net puede ser considerado un lenguaje: a)Interpretado. b)Híbrido. c)Ensamblador. d)Compilado. e)Alto nivel.

10.¿Qué significa el término MTD en el contexto de disponibilidad?. a. Máximo duración del tiempo operativo. b. Tiempo máximo tolerable de inactividad. c. Tiempo permitido para reiniciar el servidor. d. Tiempo para recuperar operaciones.

11.Los parámetros de consulta de URL se utilizan a menudo para transmitir argumentos de solicitud a un servidor; sin embargo son visibles al menos en los registros del servidor, y a menudo también en el análisis del sitio web y posiblemente en el historial del navegador local.¿Qué amenaza se describe en el ejemplo anterior?. a. Autenticación/Autorización insegura. b. Protecciones binarias insuficientes. c. Validación de entrada/salida insuficiente. d. Controles de privacidad inadecuados. e. Comunicación insegura. f. Uso inadecuado de credenciales.

12.Un equipo de DevOps necesita identificar vulnerabilidades asociadas con la autenticación de usuarios y la inyección SQL en su aplicación. ¿Qué herramientas debería usar en el pipeline?. a. Herramientas de pruebas dinámica de aplicaciones (DAST). b. Plataformas de administración de artefactos. c. Consolas de gestión de la nube. d. Herramientas de prueba estática de aplicaciones (SAST).

13.¿Qué herramienta ayuda a proteger las aplicaciones web de tráfico malicioso?. a. Las vulnerabilidades del código abierto. b. Los cortafuegos de aplicaciones web (WAF). c. Los Scripts de validación. d. Las API de terceros.

14.Se produce cuando las API procesan solicitudes de direcciones URL controladas por el usuario y obtienen recursos remotos del servidor para validar la solicitud del usuario. a. Falsificación de solicitudes del lado del servidor. b. Gestión inadecuada del inventario. c. Acceso sin restricciones a flujos comerciales sensibles. d. Autorización de nivel de propiedad de objetivo roto. e. Autorización de nivel de función rota. f. Configuración incorrecta de seguridad.

15.¿Qué derecho permite a los usuarios rechazar el uso de sus datos para fines específicos, como el entrenamiento de modelos?. a. Derecho de acceso/portabilidad. b. Derecho de corrección. c. Derecho de eliminación. d. Derecho de oposición.

16.Con el fin de lograr prevenir la amenaza del tipo Componentes vulnerables y obsoletos, decide usar herramientas configuradas con valores predeterminados para evitar introducir una configuración insegura. ¿Esto logrará impedir que se materialice la amenaza?. a. Falso. b. Verdadero.

17.¿Cuál es la etapa inicial del SDLC?. a. Diseño. b. Desarrollo. c. Implementación. d. Planificación.

18.Imagine que una empresa de software ha decidido implementar SCA en su proceso de desarrollo para mejorar la calidad y seguridad de sus aplicaciones. El equipo de desarrollo desea asegurarse de que todas las posibles vulnerabilidades y errores de codificación se detecten antes del lanzamiento de la aplicación. ¿Cuál de las siguientes afirmaciones describe mejor el papel de SCA en este escenario?. a. SCA detecta vulnerabilidades de seguridad sólo cuando la aplicación está en ejecución, lo que hace que no sea útil para este caso. b. SCA solo se enfoca en encontrar vulnerabilidades en aplicaciones móviles, no es útil para aplicaciones web. c. SCA ayuda a encontrar vulnerabilidades de seguridad sin necesidad de ejecutar la aplicación, permitiendo detectar problemas en componentes de terceros a lo largo del ciclo de desarrollo. d. SCA solo se utiliza para evaluar el rendimiento de la aplicación, no tiene impacto en la calidad o seguridad del código. e. SCA reemplaza todas las pruebas de seguridad y calidad necesarias, eliminando la necesidad de realizar revisiones murales o pruebas dinámicas. f. SCA analiza el código en ejecución, por lo que no es necesario realizar pruebas estáticas adicionales.

19.Una organización desarrolla un modelo de IA utilizando anonimizados en lugar de datos reales para proteger la privacidad de los usuarios. ¿Qué técnica está utilizando el equipo para cumplir con las regulaciones de privacidad?. a. Derecho de corrección. b. Uso de datos sintéticos. c. Entrenamiento adversarial. d. Plataforma de gestión de consentimiento.

20.Un equipo está utilizando una infraestructura de nube pública. ¿Qué estrategia debe seguir para gestionar la seguridad?. a. Usar los servicios de seguridad predeterminados sin personalización. b. Dejar la seguridad completamente a cargo del proveedor de la nube. c. Implementar el modelo de responsabilidad compartida de seguridad. d. Desactivar las políticas de seguridad predeterminadas.

21. Un equipo tiene problemas con la lentitud en la provisión de infraestructura debido a la intervención manual constante. ¿Qué solución puede adoptar?. a. Continuar con la provisión manual, pero incrementando el personal. b. Implementar infraestructura como código (laC). c. Evitar realizar pruebas en la infraestructura. d. Reemplazare todos los sistemas automáticos por procesos manuales.

22.¿Qué técnica debe emplearse para proteger los datos durante el tiempo que se almacenan, según OWASP?. a. Pruebas de caja blanca. b. Sistemas de monitoreo en tiempo real. c. Pruebas adversariales. d. Técnicas de cifrados robusto.

23.¿Qué herramienta o proceso ayuda a garantizar que los datos recolectados son esenciales para el propósito del modelo?. a. Dashboards en tiempo real. b. Pruebas de caja negra. c. Auditorías periódicas. d. Sistemas de cifrado robustos.

24.¿Qué desafío adicional enfrenta la seguridad de las aplicaciones en la nube?. a. Los datos confidenciales son más vulnerables. b. Las aplicaciones no transmiten datos sensibles. c. La implementación de hardware especializado. d. Las aplicaciones basadas en la nube no necesitan seguridad.

25.Considerando el proceso de desarrollo de software, nos encontramos realizando la actividad del modelado de amenazas, en específico estamos modificando los requerimientos para establecerlos. Dado este contexto, ¿qué deberíamos hacer para prevenir identificar y prevenir posibles amenazas dentro de un requerimiento?. a. Usar herramientas automatizadas para análisis de código estático. b. Documentar y seguir las políticas de seguridad de la organización durante la ejecución del programa. c. Capacitar a los usuarios finales sobre el uso del programa para el caso de uso a modelar. d. Usar herramientas manuales para pruebas de código dinámico. e. Realizar pruebas de penetración en el sotfware después de su implementación. f. Identificar límites de confianza (valores permitidos, rangos de valores, límites de intentos),puntos de entrada y salida de información en el caso de uso.

26.Una empresa implementa un modelo de IA que no ha sido entrenado con datos precisos. ¿Qué riesgo principal enfrenta la empresa?. a. El modelo será 100% confiable desde el inicio. b. El modelo tomará decisiones basadas en patrones defectuosos, lo que podría generar errores. c. El modelo será más seguro y eficiente. d. El modelo se ajustará automáticamente a los datos erróneos sin afectar los resultados.

27.Un atacante inyecta malware en una aplicació móvil durante el desarrollo. Luego, el atacante firma la aplicación con un certificado válido y lo distribuye a la tienda de aplicaciones, evitando los controles de seguridad de la tienda. Los usuarios adquieren la aplicación, que roba sus credenciales y otros datos confidenciales. ¿Qué amenaza se describe en el ejemplo anterior?. a. Validación de entrada/salida insuficiente. b. Uso inadecuado de credenciales. c. Controles de privacidad inadecuados. d. Protecciones binarias insuficientes. e. Comunicación insegura. f. Seguridad inadecuada de la cadena de suministro.

28.¿Cuál es un enfoque para asegurar entradas de usuarios antes de procesarlas?. a. Validación del lado del cliente. b. Validación del lado del servidor. c. Smart fuzzing. d. Administración de sesiones.

29.¿Cómo se puede reducir la superficie de ataque de una API?. a. Limitar el número de solicitudes a la API. b. Exponer todas las funciones de la API. c. Permitiendo todos los puntos de acceso sin restricciones. d. Hacer uso de una sola clave de API para todo el sistema.

30.Con el fin de lograr prevenir cierto tipo de vulnerabilidad decide usar componentes de terceros descargados de fuentes oficiales identificando las versiones de los componentes y de sus dependencias, manteniéndolas actualizadas. ¿Esto logrará impedir que se materialice qué tipo de amenaza?. a. Falsificación de solicitudes del lado del servidor. b. Fallos de integridad de software y datos. c. Componentes vulnerables y obsoletos. d. Error de identificación y autenticación. e. Errores de registro y supervisión de seguridad. f. Configuración incorrecta de seguridad.

31.¿Qué se busca prevenir con la implementación de técnicas de análisis anti dinámico en una aplicación?. a. La corrupción de los datos almacenados en el dispositivo. b. La modificación de la interfaz de usuario. c. El análisis y la manipulación del código durante el tiempo de ejecución. d. El acceso a la memoria de la aplicación.

32.Un atacante realiza múltiples intentos de acceso a la API utilizando contraseñas comunes. ¿Qué vulnerabilidad está aprovechando?. a. Autenticación. b. Acceso no autorizado a flujos sensibles. c. Consumo de recursos sin restricción. d. Autorización de objeto rota.

33.Un desarrollador está a punto de realizar un cambio en un contenedor, ¿qué debe verificar primero?. a. Si la imagen contiene vulnerabilidades conocidas. b. Si la imagen base es confiable y actualizada. c. Si el contenedor tiene configuraciones personalizadas. d. Si las credenciales de API están incluidas en el código.

34.¿Cómo se debe priorizar la implementación de controles de seguridad?. a. Por la complejidad técnica. b. Por el impacto en la confianza del cliente. c. Por el nivel de riesgo de cada amenaza. d. Según el coste de implementación.

35.Durante el proceso de desarrollo de software, el equipo está utilizando herramientas para gestionar las bibliotecas y componentes de terceros integrados en la aplicación. La principal preocupación es garantizar que no existan vulnerabilidades de seguridad ni problemas de licencias asociados con estas dependencias externas. ¿Cuál de las siguientes pruebas es la más adecuada para este propósito?. a. Software Composition Analysis (SCA): Se enfoca en la gestión y análisis de las bibliotecas y dependencias de terceros identificados vulnerabilidades de seguridad y problema de licencias. b. Pruebas de aceptación del usuario: Se realizan para asegurar que el sistema cumpla con los requisitos del cliente, pero no se ocupan de las dependencias externas. c. Pruebas de regresión : Se realizan para asegurar que los cambios no afecten funcionalidades existentes pero no están orientadas a las bibliotecas externas. d. Pruebas de caja negra: Se enfocan en la funcionalidad del sistema sin tener en cuenta el código fuente o las dependencias externas. e. Pruebas de caja blanca: Se realizan analizando de código fuente y la estructura interna del sistema, pero no gestionan las dependencias de terceros. f. Pruebas de integración: Se aplican para verificar la interacción entre los diferentes módulos del sistemas, pero no abordan las dependencias de terceros.

36.Los desarrolladores dejan sus API y recursos vulnerables a ataques si los atacantes pueden manipular a proveedores exteriores. ¿A qué categoría de amenaza hace referencia el enunciado anterior?. a. Configuración incorrecta de seguridad. b. Acceso sin restricciones a flujos comerciales sensibles. c. Consumo inseguro de API. d. Autorización de nivel de función rota. e. Falsificación de solicitudes del lado del servidor. f. Autorización de nivel de propiedad de objeto roto.

37.¿Por qué es esencial que las aplicaciones se ejecuten en una versión actualizada de la plataforma?. a. Para tener las protecciones de seguridad más recientes y evitar vulnerabilidades conocidas. b. Para aprovechar las nuevas características de diseño. c. Para mejorar la experiencia del usuario. d. Para reducir el consumo de batería de la aplicación.

38.Al hacer un análisis de las causas de una brecha de seguridad, podemos atribuir esta causa a la implementación o a la arquitectura de la aplicación. En ese sentido, ¿cómo se denomina a esta causa de provenir de la implementación diseño/arquitectura?. a. Amenaza. b. Ataque. c. Vulnerabilidad. d. Exploit. e. Defecto. f. Error.

39.Los desarrolladores a menudo confían en los datos recibidos, especialmente cuando trabajan con proveedores de renombre e implementan políticas y estándares de seguridad menos estrictos. ¿A qué categoría de amenaza hace referencia el enunciado anterior?. a. Acceso sin restricciones a flujos comerciales sensibles. b. Consumo inseguro de API. c. Autorización de nivel de función rota. d. Falsificación de solicitudes del lado del servidor. e. Autorización de nivel de propiedades de objeto roto. f. Configuración incorrecta de seguridad.

40.Una organización que opera en la nube detecta un incremento de ataques dirigidos hacia su consola de gestión. ¿Qué medida debería implementar para proteger este recurso crítico?. a. Utilizar claves SSH incrustadas para asegurar la consola. b. Realizar pruebas de aplicaciones estadísticas (SAST). c. Automatizar los scripts de aprovisionamiento. d. Controlar estrictamente el acceso con privilegios a la consola de gestión.

41.¿Por qué es importante aplicar actualizaciones a los componentes de software de terceros en una aplicación?. a. Para mejorar la compatibilidad con otros dispositivos. b. Para evitar el uso de componentes con vulnerabilidades conocidas. c. Para reducir el tiempo de ejecución de la aplicación. d. Para facilitar la depuración de los componentes del sistema.

42.¿Qué tipo de vulnerabilidades se explotan en un ataque a una API?. a. Vulnerabilidades solo en los servidores web. b. Ataques de fuerza bruta únicamente. c. Aprovechamientos de vulnerabilidades, como inyecciones de SQL y desconfiguración de la seguridad. d. Vulnerabilidades conocidas como “fallos de seguridad”.

2.¿Qué requisito de seguridad protege contra la divulgación no autorizada de información servible?. a. Integridad. b. Confidencialidad. c. Transparencia. d. Disponibilidad.

3.¿Cómo se llama el proceso que se enfoca en la seguridad después del proceso de desarrollo?. a. Concientización. b. DEVOPS. c. SCRUM. d. Automatización. e. Desarrollo ágil. f. Desplazar la seguridad a la derecha.

4.Una empresa necesita rastrear métricas clave como precisión y tasa de error en tiempo real ¿Qué herramientas o práctica debería implementar ?. a. Desarrollar un dashboard de supervisión. b. Entrenar el modelo con más datos. c. Aplicar pruebas de caja negra. d. Realizar pruebas adversariales periódicas.

5.¿Qué aspecto permite que las aplicaciones web sean accesibles ?. a. Son exclusivas para usuarios con conocimientos avanzados. b. Su diseño incluye acceso remoto. c. Utilizan dispositivos de entrada avanzados. d. Requieren instalación local.

6.¿Cuál es el proceso de evaluar los controles de seguridad de la información e implementar los procesos y herramientas adecuados en los sistemas de TI para proteger los datos utilizados y almacenados?. a. Análisis post mortem. b. Diseño de calidad. c. Modelado de amenazas. d. Prioridad de las amenazas. e. Control de Seguridad. f. Arquitectura de seguridad.

7.¿Cuál es el proceso de evaluar los controles de seguridad de la información e implementar los procesos y herramientas adecuados en los sistemas de TI para proteger los datos utilizados y almacenados?. a. Análisis post mortem. b. Diseño de calidad. c. Modelado de amenazas. d. Prioridad de las amenazas. e. Control de Seguridad. f. Arquitectura de seguridad.

8.¿Cuál de los siguientes es un ejemplo de una mala práctica en gestión de claves criptográficas?. a. Destruir las claves de forma correcta. b. Utilizar claves largas y seguras. c. Almacenar la clave criptográfica junto con los datos en una cinta de respaldo. d. Realizar rotaciones frecuentes de claves.

9.En un equipo DevOps, se está implementando un modelo de trabajo ágil. ¿Cómo se puede asegurar que el software esté siempre listo para ser desplegado?. a. Usar sólo pruebas manuales de integración. b. Implementar Continuous Integration (CI). c. Solo implementar código cuando todo esté terminado. d. Reducir las pruebas automatizadas.

10.Un equipo recibe alertas de seguridad sobre un contenedor. ¿Qué debería hacer primero para mitigar el riesgo?. a. Deshabilitar la red para prevenir accesos no autorizados. b. Actualizar todos los contenedores sin pruebas. c. Rastrear y verificar las vulnerabilidades identificadas. d. Ignorar las alertas si el contenedor parece funcionar bien.

11.¿Qué tipo de vulnerabilidad permite que el atacante pueda acceder, modificar, agregar y eliminar valores de propiedad a los objetos?. a. Falsificación de solicitudes del lado del servidor. b. Consumo de recursos sin restricciones. c. Acceso sin restricciones a flujos comerciales sensibles. d. Configuración incorrecta de seguridad. e. Autorización de nivel de propiedad de objeto roto. f. Gestión inadecuada del inventario.

12.¿Qué tipo de análisis busca la vulnerabilidad en código fuente ?. a. Revisión de pares. b. Escaneo dinámico. c. Escaneo estático. d. Análisis de diccionario.

13.¿Cómo se puede mitigar el consumo no restringido de recursos?. a. Implementación límites y cuotas de uso. b. Permitiendo acceso ilimitado. c. Eliminado todas las peticiones de los usuarios. d. No limitando la velocidad de acceso.

14.Una aplicación está configurada de tal manera que un usuario de forma convencional tiene los permisos mínimos para realizar sus actividades diarias, de ser necesario, el usuario puede asumir permisos más elevados durante un periodo. ¿Qué características hacen referencia al enunciado anterior ?. a. JIT. b. Atomicidad. c. JEA. d. Integridad. e. Disponibilidad. f. No repudio.

15.Un atacante obtiene acceso físico al dispositivo de un usuario y extrae las credenciales almacenadas de la aplicación. El atacante utiliza las mismas para obtener acceso no autorizado a la cuenta del usuario. ¿Qué amenaza se describe en el ejemplo anterior?. a. Validación de entrada/salida insuficiente. b. Uso inadecuado de credenciales. c. Comunicación insegura. d. Controles de privacidad inadecuados. e. Protecciones binarias insuficientes. f. Seguridad inadecuada de la cadena de suministro.

16.Una de las técnicas que utilizan lenguajes de programación más nuevos en comparación con lenguajes más viejos es la gestión automática de memoria. Permitiendo de esta manera prevenir ataques que sobrecarguen la memoria con objetos que ya son inalcanzables en el programa. ¿Lo anterior podría ayudar a prevenir ataques de denegación de servicio?. a. Verdadero. b. Falso.

17.Los abogados de una empresa están preocupados por los aspectos legales relacionados con el uso de software, ya que existen distintos tipos de licencias, como GNU/GPL, Apache, entre otras.Les inquieta que , debido a la naturaleza del desarrollo , algunos de los componentes utilizados puedan estar regulado y, por ello, le solicitan identificar todas las librerías y dependencias empleadas para corroborar que no se esté haciendo un uso indebido de dichos componentes ¿Que tipo de prueba le puede ayudar en esta tarea?. a. SCA. b. DAST. c. Integración. d. Unitarias. e. Carga. f. SAST.

18.Una aplicación de reconocimiento facial recopila datos de los rostros de un usuarios para autenticar accesos. Posteriormente, esta información se usa para crear perfiles demográficos sin consentimiento previo. ¿Qué principio se está ignorando?. a. La seguridad en el almacenamiento de datos personales. b. La especificación de finalidad y consentimiento informado. c. La auditoría de los datos recopilados. d. EL uso de aprendizaje federado para proteger la privacidad.

19. Un equipo de desarrollo de la IA actualiza las políticas de privacidad de su aplicación y comienza a usar los datos de los usuarios para un propósito. ¿Qué deben hacer para cumplir con las regulaciones de privacidad ?. a. Anonimizar los datos sin necesidad de notificación. b. Continuar usando los datos bajo el consentimiento previo. c. Modificar el consentimiento de manera automática. d. Notificar a los usuarios y solicitarles que confirmen nuevamente su conocimiento.

20.Deshabilite características, servicios o módulos innecesarios para la funcionalidad de la API. ¿Los anteriores son ejemplos de soluciones ante qué tipo de amenaza?. a. Gestión inadecuada del inventario. b. Autorización de nivel de función rota. c. Configuración incorrecta de seguridad. d. Autorización de nivel de propiedad de objeto roto. e. Acceso sin restricciones a flujos comerciales.

21.¿Cual de los siguientes es un manual completo que cubre los procesos, técnicas y herramientas utilizadas durante el análisis de de seguridad de aplicaciones móviles, así como conjunto exhaustivo de casos de prueba para verificar los requisitos enumerados en el estándar de verificación de seguridad de aplicación móviles de OWASP(MASVS)?. a. OWASP mobile Top 10. b. PCI DSS. c. MASVS. d. OWASP Top 10. e. MASTG. f. MITRE SHIELD.

22. ¿Cual es la tarea que se lleva a cabo en la fase de diseño del SDLC para abordar las seguridad ?. a. Aplicar pruebas dinámicas. b. Desarrollar pruebas de verificación. c. Implementar estándares de codificación segura. d. Crear el modelo de amenazas.

23. ¿ Cual de las siguientes afirmaciones sobre SAST Y SCA es correcta?. a. SAST permite detectar vulnerabilidades de seguridad en el código fuente sin necesidad de ejecutar la aplicación. b. SCA es una técnica que evalúa el rendimiento y la seguridad de una aplicación al ejecutarla. c. SCA se enfoca principalmente en la calidad del código y no abarca la seguridad en la aplicación . d. SCA solo identifica problemas de seguridad y no aborda otros defectos en el código. e. SAST y SCA son lo mismo, ambos se centran únicamente en la calidad del código. f. SAST se utiliza exclusivamente para analizar el rendimiento de una aplicación, sin considerar su seguridad.

24. Considerando una aplicación con una validación de entrada pobre (Se omiten sustituir valores, eliminar caracteres especiales o no se literaliza la entrada), ¿qué tipo de amenazas podrían presentarse?. a. Robo de sesión. b. Inyeccion SQL. c. Fuerza bruta. d. Falsificación de solicitudes del lado del servidor. e. Mensajes de error detallados. f. XSS.

25.¿Qué control garantiza que cualquier dato confidencial almacenado intencionalmente por la aplicación esté protegido adecuadamente, independientemente de la ubicación de destino?. a. MASVS-RESILENCE. b. MASVS-CRYPTO. c. MASVS-AUTH. d. MASVS-NETWORK. e. MASVS-DEVOPS. f. MASVS-STORAGE.

26. fc autónomo comienza a tomar decisiones erróneas debido a pequeños cambios en las señales de tráfico que no son detectables para los humanos. Estas alteraciones hacen que el modelo de IA interprete incorrectamente la señales ¿Que tipo de ataque está afectando al modelo del vehículo autónomo?. a. Inyeccion de codigo. b. Envenenamiento de datos. c. Filtración de información. d. Ataque adversarial.

27. Un equipo de DevOps detecta una vulnerabilidad en su aplicación mientras está en producción ¿Que herramienta debe utilizar para abordar el problema de forma rápida?. a. Herramientas de pruebas dinámicas de seguridad de aplicaciones (DAST). b. Realizar pruebas solo en el entorno de desarrollo. c. dejar que el problema sea solucionado en una próxima actualización. d. Ignorar las vulnerabilidades en producción.

28. Un usuario obtiene acceso a funcionalidades del sistema móvil sin tener permiso adecuado. ¿Qué vulnerabilidad está presente ?. a. Autenticación/autorización insegura. b. Criptografía insuficiente. c. Protección binaria insuficiente. d. Almacenamiento inseguro de datos.

29. Considerando la importancia del manejo de memoria, existe una condición que ocurre cuando los datos que se copian en el buffer son más grandes de lo que el buffer puede manejar. ¿ Esto puede considerarse como qué tipo de amenaza?. a. Falsificación de solicitudes del lado del servidor. b. Inyección. c. Buffer Overflow. d. Keylogger. e. Denegación de servicio. f. XSS.

30.¿Qué se debe hacer para proteger las APIs de posibles ataques DDoS?. a. No permitir ningún tipo de autenticación. b. Evitar el uso de encriptación TLS. c. Configurar una API Gateway con limitación de velocidad. d. Permitir solicitudes ilimitadas a la API.

31.Considerando una aplicación con una arquitectura cliente-servidor, la lógica del negocio debería manejarse principalmente en el lado del servidor, esto con el fin de lograr una de las siguientes opciones.¿Cuál es el principio que estamos cumpliendo?. a. Fallo seguro. b. Diseño abierto. c. Economía de mecanismos. d. menos privilegio. e. Minima exposicion. f. Aceptabilidad psicológica.

32. Un equipo un problema con la actualización de imágenes de contenedor ¿Que debería hacer para garantizar la seguridad. a. Utilizar imágenes sin ningún tipo de validación. b. Asegurarse de que capas de runtime y sistema operativo estén actualizadas. c. Mantener las imagenes antiguas para evitar cambios. d. Descargar imagenes de fuentes no verificadas para acelerar el proceso.

33.¿Por qué es importante aplicar actualizaciones a los componentes de software de terceros en una aplicación?. a. Para facilitar la depuración de los componentes del sistema. b. Para reducir el tiempo de ejecución de la aplicación. c. Para mejorar la compatibilidad con otros dispositivos. d. Para evitar el uso de componentes con vulnerabilidades conocidas.

34.Demasiadas peticiones dirigidas a una API pueden ralentizar o detener el servicio para otros clientes ¿A qué tipo de amenazas estamos hablando?. a. Aprovechamientos de vulnerabilidades. b. DoS. c. Ataques basados en la autenticación. d. DDos. e. Errores de autorización.

35.¿Cuál es el objetivo principal de los ciberataques?. a. Obtener información confidencial. b. Obtener datos, dinero o destruir la reputación. c. Robar hardware de la empresa. d. Destruir la infraestructura.

36.¿Qué técnica ayuda a transformar datos peligrosos en una forma inocua?. a. Validación de entradas. b. Sanitización de entradas. c. Autenticación. d. Autorización.

37.¿Cuál es el propósito de la validación de la integridad de la plataforma en MASVS-RESILIENCIA?. a. Asegurar que los datos de los usuarios sean almacenados correctamente. b. Garantizar que la plataforma no ha sido manipulada para deshabilitar funciones de seguridad. c. Mejorar la interfaz de usuario de la aplicación. d. Permitir actualizaciones del sistema operativo.

38.¿Qué implica la transparencia en los modelos de IA según OWASP?. a. La habilidad de explicar como y porque toma decisiones. b. La garantía de que el modelo es ético. c. La capacitación de mejorar la precisión del modelo.

39.¿Qué tipo de interfaz podría incluirse en los sistemas de IA para permitir a los usuarios gestionar su consentimiento y eliminación de datos?. a. Interfaz para solicitudes de eliminación de datos. b. Interfaz para analizar el uso de datos. c. Interfaz para reportar vulnerabilidades. d. Interfaz para revisión de seguridad.

40.Una organización descubre que varios de sus artefactos de compilación obsoletos están ocupando espacio en su repositorio de CI. ¿Qué medida debería tomar para gestionar eficientemente estos artefactos?. a. Implementar pruebas DAST durante el ciclo de vida de los artefacto. b. Especificar las condiciones para eliminar artefactos en función del tiempo o espacio disponible. c. Automatizar los scripts de aprovisionamiento de infraestructura. d. Migrar todos los artefactos aún repositorio público.

41.Un equipo de DevOps necesita identificar vulnerabilidades asociadas con la autenticación de usuarios y la inyección SQL en su aplicación. ¿Qué herramientas debería usar en el pipeline?. a. consolas de gestión de la nube. b. Herramientas de prueba dinámica de aplicación (DAST). c. Plataformas de administración de artefactos. d. Herramientas de prueba estáticas de aplicaciones (SAST).

42.¿Qué desafío adicional enfrenta la seguridad de las aplicaciones en la nube?. a. Las aplicaciones no transmiten datos sensibles. b. Los datos confidenciales son más vulnerables. c. La implementación de hardware especializado. d. Las aplicaciones basadas en la nube no necesitan seguridad.